@DanijelMalik , आपकी प्रतिक्रिया के लिए धन्यवाद। हम इस क्वेरी को देख रहे हैं और जल्द से जल्द आपको अपडेट करेंगे।

@DanijelMalik , हमें इस त्रुटि के लिए
नोट: कृपया सदस्यता आईडी या रहस्य जैसे गोपनीय क्षेत्रों को मास्क करना सुनिश्चित करें।
{
"स्थिति": "विफल",
"त्रुटि": {
"कोड": "ApplicationGatewayKeyVaultSecretException",
"संदेश": "अनुप्रयोग गेटवे '/subselines/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX / गेटवेज़गेटवेज़गेटवे वी 2 नीचे दिए गए विवरण देखें:"
"विवरण": [
{
"कोड": "ApplicationGatewayKeyVaultSecretAccessDenied",
"संदेश": "एप्लिकेशन गेटवे के लिए KeyVault सीक्रेट 'XXXXXXXXXXXXXXXXXXX' / / सदस्यताएँ /XXXXXXXXXXX/resourceGroups/XXXXXXXXXXXX/providers.Microsoft.Network/applicationGateways/applicationGatewayV2 'के लिए प्रवेश निषेध है। यह सुनिश्चित करें कि पहचान की पहचान की है। रहस्य के साथ जुड़ा हुआ है। "
}
]
}
}

@DanijelMalik , बस यह देख रहा है कि पिछली प्रतिक्रिया देखने के लिए आपको कुछ समय मिला या नहीं।

@DanijelMalik , जब से हमने आपको वापस नहीं सुना है, हम अब इस धागे को बंद करने के लिए आगे बढ़ेंगे। यदि इस मामले के बारे में और प्रश्न हैं, तो कृपया मुझे अपने उत्तर में टैग करें। हम खुशी से इस मुद्दे को फिर से खोलेंगे और चर्चा जारी रखेंगे।

एक ही मुद्दा यहाँ।

मेरे लिए यह कुंजी तिजोरी पर नरम हटाने को सक्षम करके हल किया गया था।

इस आवश्यकता के बारे में एक मौजूदा मुद्दा प्रलेखित नहीं है: # 34382

नमस्ते, मैं एक ही मुद्दे का अनुभव कर रहा हूँ। क्या समस्या है ऐसा लगता है कि हालांकि कीवॉल्ट appGw सबनेट (फायरवॉल और वर्चुअल नेटवर्क सेटिंग्स के माध्यम से कीवाउल विन्यास में ब्लेड) तक पहुंच की अनुमति देता है; और appGw सबनेट को -GatewayIpConfigurations तर्क के माध्यम से New-AzApplicationGateway पर इनपुट किया जा रहा है, appGw keyvault का उपयोग करने में सक्षम नहीं लगता (पहचान के रूप में अच्छी तरह से keyvault पहुँच नीतियों में अधिकार हैं)।

जब मैं "सभी नेटवर्कों" से कीवॉल्ट की पहुँच की अनुमति देता हूँ तो यह ठीक काम करता है।

शायद appGw निर्माण की प्रक्रिया में keyvault को एक्सेस किया जा रहा है इससे पहले कि appGw सबनेट और keyvault के साथ कॉन्फ़िगर किया गया हो, तब सबनेट की तुलना में कहीं और से इस एक्सेस को देखता है?

मैं स्थानीय रूप से पॉवरशेल स्क्रिप्ट चला रहा हूं, लेकिन मेरे आईपी की कुंजी वॉल्ट तक पहुंच है, ताकि समस्या न हो।

मैं एक ही मुद्दा देखता हूं

@ SubhashVasarapu-MSFT

मेरे साथ भी वही दिक्कत है। मैं एज़्योर सीएलआई 2.0.76 का उपयोग कर रहा हूं। मेरे आवेदन गेटवे और कुंजी वॉल्ट एक ही सदस्यता में विभिन्न संसाधन समूहों में हैं। कुंजी वॉल्ट में सॉफ्ट डिलीट इनेबल है, इसे सभी नेटवर्क से एक्सेस किया जा सकता है और इसमें एप्लिकेशन गेटवे के असाइन किए गए उपयोगकर्ता को दी गई गुप्त अनुमति के साथ एक्सेस पॉलिसी की एक्सेस पॉलिसी है।

az network application-gateway ssl-cert create -g XXX --gateway-name XXX --name XXX --key-vault-secret-id https://XXX.vault.azure.net/secrets/XXX --debug

परिणाम (संक्षिप्त में)

msrest.http_logger : {
  "status": "Failed",
  "error": {
    "code": "ApplicationGatewayKeyVaultSecretException",
    "message": "Problem occured while accessing and validating KeyVault Secrets associated with Application Gateway '/subscriptions/XXX/resourceGroups/XXX/providers/Microsoft.Network/applicationGateways/XXX'. See details below:",
    "details": [
      {
        "code": "ApplicationGatewayKeyVaultSecretAccessDenied",
        "message": "Access denied for KeyVault Secret 'https://XXX.vault.azure.net/secrets/XXX' for Application Gateway '/subscriptions/XXX/resourceGroups/XXX/providers/Microsoft.Network/applicationGateways/XXX'. Make sure that Identity assigned to Application Gateway has access to the KeyVault associated with secret."
      }
    ]
  }
}
msrest.exceptions : Problem occured while accessing and validating KeyVault Secrets associated with Application Gateway '/subscriptions/XXX/resourceGroups/XXX/providers/Microsoft.Network/applicationGateways/XXX'. See details below:
cli.azure.cli.core.util : Deployment failed. Correlation ID: 623f5539-b652-49fc-9a29-326bcadaa055. Access denied for KeyVault Secret 'https://XXX.vault.azure.net/secrets/XXX' for Application Gateway '/subscriptions/XXX/resourceGroups/XXX/providers/Microsoft.Network/applicationGateways/XXX'. Make sure that Identity assigned to Application Gateway has access to the KeyVault associated with secret.
Deployment failed. Correlation ID: 623f5539-b652-49fc-9a29-326bcadaa055. Access denied for KeyVault Secret 'https://XXX.vault.azure.net/secrets/XXX' for Application Gateway '/subscriptions/XXX/resourceGroups/XXX/providers/Microsoft.Network/applicationGateways/XXX'. Make sure that Identity assigned to Application Gateway has access to the KeyVault associated with secret.

यदि मैं एज़्योर पोर्टल में एप्लिकेशन गेटवे HTTP श्रोता को संपादित करता हूं और वहां कुंजी वॉल्ट से एसएसएल प्रमाणपत्र प्राप्त करने का प्रयास करता हूं, तो मुझे यह त्रुटि मिली:

एप्लिकेशन गेटवे 'XXX' में कॉन्फ़िगरेशन परिवर्तन सहेजने में विफल। त्रुटि: पहचान के लिए अमान्य मूल्य 'XXX / प्रदाताओं / Microsoft.anagedIdentity / userAssignedIdentities / XXX'। 'UserAssignedIdentities' संपत्ति कुंजियाँ केवल खाली ऑब्जेक्ट्स, रिक्त या संसाधन से बाहर निकलने वाली संपत्ति होनी चाहिए।

नमस्ते, मैं एक ही मुद्दे का अनुभव कर रहा हूँ। क्या समस्या है ऐसा लगता है कि हालांकि कीवॉल्ट appGw सबनेट (फायरवॉल और वर्चुअल नेटवर्क सेटिंग्स के माध्यम से कीवाउल विन्यास में ब्लेड) तक पहुंच की अनुमति देता है; और appGw सबनेट को -GatewayIpConfigurations तर्क के माध्यम से New-AzApplicationGateway पर इनपुट किया जा रहा है, appGw keyvault का उपयोग करने में सक्षम नहीं लगता (पहचान के रूप में अच्छी तरह से keyvault पहुँच नीतियों में अधिकार हैं)।

जब मैं "सभी नेटवर्कों" से कीवॉल्ट की पहुँच की अनुमति देता हूँ तो यह ठीक काम करता है।

शायद appGw निर्माण की प्रक्रिया में keyvault को एक्सेस किया जा रहा है इससे पहले कि appGw सबनेट और keyvault के साथ कॉन्फ़िगर किया गया हो, तब सबनेट की तुलना में कहीं और से इस एक्सेस को देखता है?

मैं स्थानीय रूप से पॉवरशेल स्क्रिप्ट चला रहा हूं, लेकिन मेरे आईपी की कुंजी वॉल्ट तक पहुंच है, ताकि समस्या न हो।

इसने मेरे लिए भी काम किया। केवल असफलता से सफलता के लिए किए गए परिवर्तन को सभी नेटवर्कों को अनुमति देना था

यदि मैं एज़्योर पोर्टल में एप्लिकेशन गेटवे HTTP श्रोता को संपादित करता हूं और वहां कुंजी वॉल्ट से एसएसएल प्रमाणपत्र प्राप्त करने का प्रयास करता हूं, तो मुझे यह त्रुटि मिली:

एप्लिकेशन गेटवे 'XXX' में कॉन्फ़िगरेशन परिवर्तन सहेजने में विफल। त्रुटि: पहचान के लिए अमान्य मूल्य 'XXX / प्रदाताओं / Microsoft.anagedIdentity / userAssignedIdentities / XXX'। 'UserAssignedIdentities' संपत्ति कुंजियाँ केवल खाली ऑब्जेक्ट्स, रिक्त या संसाधन से बाहर निकलने वाली संपत्ति होनी चाहिए।

@wolfganggallo मुझे यह ठीक वही त्रुटि मिल रही है। मेरा azure पोर्टल अब एक त्रुटि स्थिति में भी फंस गया है और मुझे कोई परिवर्तन नहीं करने देता है। क्या आपने इसे ठीक करने का प्रबंधन किया?

Att: @ SubhashVasarapu-MSFT - कृपया फिर से खोलें।

मुझे एक ही मुद्दा मिल रहा है: "_The 'UserAssignedIdentities' की संपत्ति की चाबियाँ केवल खाली वस्तुएं, अशक्त या संपत्ति से बाहर निकलने वाली संपत्ति होनी चाहिए", और मेरे - एक अलग संसाधन समूह और vnet में कीवाउल। मुझे मेरे मामले में vnets लगता है। peered नहीं हैं, इसलिए APIM उदाहरण और रनटाइम के दौरान कुंजीवॉल्ट के बीच कोई मार्ग नहीं है, लेकिन Azure पोर्टल UI अभी भी उपयोग करने के लिए उपलब्ध के रूप में कीवाॉल्ट को सूचीबद्ध करेगा, और इसे श्रोता से जोड़ने की अनुमति देगा। मैं इसे बनाने जा रहा हूं। अस्थायी वीनेट सहानुभूति यह देखने के लिए कि क्या यह समस्या को हल करता है ताकि मैं श्रोता को हटा सकूं। मेरा Appgw वर्तमान में इस प्रकार टूट गया है:

अद्यतन हाँ, यह समस्या है। एज़्योर पोर्टल आपको मुख्य वॉल्ट दिखाएगा जो वास्तव में रनटाइम पर उपलब्ध नहीं हैं, और श्रोता की सेटिंग्स को सहेजने से आपका ऐप्पल टूट जाएगा। क्विक फिक्स कीवाइट पर जाने के लिए है और अस्थायी रूप से इसे "सभी नेटवर्क / इंटरनेट" पर खोलना है और फिर अपने श्रोता को पुनः सहेजें। फिर आप क्या करते हैं, यह आप पर निर्भर करता है - किसी स्थानीय की-बोर्ड में प्रमाणपत्र की प्रतिलिपि बनाएँ, या एक vnet peering जोड़ें, या गायब हो रहे नेट को जोड़ें। अंततः पोर्टल को appgw और kyvault के बीच नेटवर्क पहुंच को मान्य करना चाहिए। बग।

2 अद्यतन केवल स्पष्ट होने के लिए: यह पूरी तरह से पोर्टल UI को बनाता है। AppGw CANNOT पोर्टल पर तय किया जा सकता है। बाद में सहेजना विफल हो जाता है।

मैंने इस त्रुटि को पोर्टल UI में भी मारा है। शीतल विलोपन सक्षम है। काम करने वाले सभी नेटवर्कों को काम करने की अनुमति देता है।

कृपया फिर से खोलें, श्वेतसूची का उपयोग करने में सक्षम होना अच्छी सुरक्षा है।

@ सुभाषवासरु-एमएसएफटी कृपया पुनः खोलें। हम इसी तरह के मुद्दे का सामना कर रहे हैं। पोर्टल UI पूरी तरह से टूट गया है।

निम्न संदेश के साथ प्रत्येक ऑपरेशन विफल हो जाता है:
Set-AzApplicationGateway : Either Data or KeyVaultSecretId must be specified for Certificate '/subscriptions/********-****-****-****-************/resourceGroups/**-***-ApplicationGateway-RG/providers/Microsoft.Network/ applicationGateways/**-***-Shared-WAF/sslCertificates/wildcard2022' in Application Gateway.

@PgInsight @oising क्या आपको केवल AppGw को फिर से काम करने के लिए "सभी नेटवर्क को अनुमति दें" सेट करने की आवश्यकता थी? हमारे पास समान लक्षणों के साथ समस्या है, लेकिन हमारे पास एक ही सबनेट में KeyVault है, संभवतः एक अलग मूल कारण है।

मैं UI, PowerShell, CLI या संसाधन एक्सप्लोरर का उपयोग करके कुछ भी नहीं कर सकता।

@PgInsight @oising क्या आपको केवल AppGw को फिर से काम करने के लिए "सभी नेटवर्क को अनुमति दें" सेट करने की आवश्यकता थी? हमारे पास समान लक्षणों के साथ समस्या है, लेकिन हमारे पास एक ही सबनेट में KeyVault है, संभवतः एक अलग मूल कारण है।

मैं UI, PowerShell, CLI या संसाधन एक्सप्लोरर का उपयोग करके कुछ भी नहीं कर सकता।

सभी नेटवर्क सेट करना KeyVault पर अनुमति दें और हमें PowerShell cmd का उपयोग करके कुंजी वॉल्ट पर सॉफ्ट डिलीट फ्लैग सेट करना होगा।

($resource = Get-AzureRmResource -ResourceId (Get-AzureRmKeyVault -VaultName "YOUR-VAULT-NAME").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"

Set-AzureRmResource -resourceid $resource.ResourceId -Properties $resource.Properties

मेरी भी यही समस्या थी। हालाँकि, मैं PowerShell का उपयोग करके कुंजी वॉल्ट प्रमाणपत्र को हटाकर समस्या को हल करने में सक्षम था और अन्वेषक का उपयोग करके संसाधन एक्सप्लोरर ने निम्न त्रुटि नहीं दिखाई:
{
"त्रुटि": {
"कोड": "MissingIdentityIds",
"संदेश": "पहचान आईडी 'उपयोगकर्ता नाम' पहचान प्रकार के लिए रिक्त या रिक्त नहीं होना चाहिए।"
}

}

प्रमाण पत्र और श्रोता को निकालने के लिए नीचे की नमूना स्क्रिप्ट का उपयोग किया गया और ऐप गेटवे वापस कार्यशील स्थिति में चला गया

एप्लिकेशन gw से श्रोता और प्रमाणपत्र हटाएं

$ AppGw = Get-AzApplicationGateway -Name "app-gw-ssl-key" -ResourceGroupName "lab"
Remove-AzApplicationGatewayHttpListener -ApplicationGateway $ AppGw -NI "APP"
Remove-AzApplicationGatewaySslCertificate -ApplicationGateway $ AppGW -Name "विजेता-सेर"

परिवर्तनों को सुरक्षित करें

set-azapplicationgateway -ApplicationGateway $ AppGW

जब एप्लिकेशन गेटवे विफल स्थिति से बाहर था, तो मैंने कुंजी वॉल्ट की पहुंच नीति की जांच की और देखा कि ऐप gw की पहचान किसी अन्य श्रेणी में थी जो "आवेदन" नहीं है। मुझे लगता है कि यह मुद्दे का कारण था।
कुंजी वॉल्ट सेटिंग से एक्सेस पॉलिसी में फिर से पहचान जोड़ी गई और यह "एप्लिकेशन" के रूप में दिखाने में सक्षम था। इससे मेरे लिए समस्या हल हो गई और मैं श्रोता को बिना मुद्दों के प्रमुख वॉल्ट से प्रमाणित करने में सक्षम हो गया।

@ SubhashVasarapu-MSFT इसे फिर से खोलने की आवश्यकता है। ऐप गेटवे को इस तरह से अक्षम / टूटी हुई स्थिति में कभी भी समाप्त नहीं होना चाहिए - मैंने फिर से उसी मुद्दे को मारा है। इसे कैसे बढ़ाया जा सकता है? यह कोई दस्तावेज़ीकरण समस्या नहीं है। यह उत्पाद की गुणवत्ता का मुद्दा है।

संक्षेप में:

दूरस्थ कीवोल्ट में एसएसएल प्रमाण पत्र का उपयोग करने के लिए श्रोता को कॉन्फ़िगर करते समय, पोर्टल यूआई आपको श्रोता को एक कीवाउल के साथ कॉन्फ़िगर करने देगा जो नेटवर्क प्रतिबंधों के कारण appgw के लिए अनुपलब्ध है (केवल इंटरनेट के लिए खुला नहीं, चयनित वर्णक)। ऐसा करने के बाद, ऐप गेटवे पोर्टल इंटरफ़ेस सभी श्रोताओं के लिए BROKEN है।

मैं इसे संबंधित टीम के पास ले जाऊंगा।

इसकी स्थिति क्या है?

हमने पीजी के साथ इस त्रुटि के कारणों में से एक पाया है। यदि आपके पास कुंजीवॉल्ट सेट पर अवधारण अवधि डिफ़ॉल्ट 90 दिनों से कुछ अलग है, तो AppGW इस त्रुटि संदेश को फेंक रहा था, भले ही आपके पास सॉफ्ट-डिलीट सक्षम और एक्सेस-के रूप में सभी-नेटवर्क सेट हो। अद्यतन इस बग को ठीक करने के लिए वर्तमान में चल रहा है।

इसे कब रोल आउट किया जाएगा? मैंने इस मुद्दे में भी भाग लिया है और यह एक बड़ा मुद्दा है कि आप इसे चलाने के बाद कभी भी पोर्टल से कॉन्फ़िगर या कोई बदलाव नहीं कर सकते।

बस आज यही मारा। 30 दिनों के लिए सॉफ्ट डिलीट रिटेंशन सेट करने के बाद इस धागे को मिला और आप इसे बदल नहीं सकते। इस फिक्स को रोल आउट करना पसंद करेंगे।

मेरे पास 90 दिनों की डिफ़ॉल्ट अवधारण अवधि के साथ भी यही मुद्दा है।
अज़ेर सीएलआई, पॉवर्सशेल, टेराफार्म, या पोर्टल चलाने वाले मैंटर को हमेशा एक ही त्रुटि मिलती है: "एप्लीकेशन गेटवे से जुड़े की-वॉल्व सीक्रेट्स को एक्सेस करने और मान्य करते समय समस्या उत्पन्न हुई ..."।

ट्रिपल ने स्थान 'वेस्ट यूरोप' में समान संसाधन समूह में सभी संसाधनों की पहचान और पहुंच नीतियों की जाँच की

@ CMS-seglo तो आप बता रहे हैं, कि आपके पास:

• [x] सॉफ्ट डिलीट इनेबल
• [x] अवधारण अवधि तयशुदा ९ ० दिनों के लिए
• [x] सभी नेटवर्क के लिए नेटवर्किंग सेट
• [x] और appgw पहचान को सही ढंग से कॉन्फ़िगर किया गया है

और आपको अभी भी यह त्रुटि मिल रही है?

@ mark-szabo मेरे पास उस चेक बॉक्स के सभी चेक हैं। और एआरएम टेम्पलेट मुझे एक त्रुटि दे रहा है:

"Invalid value for the identities '/subscriptions/<sub-id>/resourceGroups/wb-all-rg-commons/providers/Microsoft.ManagedIdentity/userAssignedIdentities/wb-application-gateway-identity'. The 'UserAssignedIdentities' property keys should only be empty json objects, null or the resource exisiting property."

संपत्ति इस तरह सेट की गई है:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
           "[parameters('gatewayIdentityId')]": {
                 "principalId": "[parameters('identityObjectId')]",
                 "clientId": "[parameters('identityClientId')]"
            }
     }
}

पैरामीटर हैं:

New-AzResourceGroupDeployment -Name "Gateway" `
        -ResourceGroupName "wb-devtest-core" `
        -TemplateFile './arm_templates/appgateway.azrm.json' `
        -TemplateParameterObject @{ `
            certificateSecretUrl    = "https://my-key-vault.vault.azure.net/secrets/some-name/some-id"; `
            certificateName         = "certNamel"; `
            gatewayIdentityId       = "/subscriptions/sub-id/resourceGroups/wb-all-rg-commons/providers/Microsoft.ManagedIdentity/userAssignedIdentities/wb-application-gateway-identity"; `
            identityClientId        = "id-here"; `
            identityObjectId        = "objIdHere";

संपादित करें:

यहां तक ​​कि जब मैंने एआरएम को बदल दिया, तो यह कच्चे डेटा के साथ स्वयं का एसएसएल प्रमाण पत्र है। पहचान संपत्ति अभी भी एक ही त्रुटि फेंकता है।

इसका कोई हल?

@ मार्क- szabo आपके उत्तर के लिए धन्यवाद, मैं आँखों के एक नए सेट के साथ फिर से पूरे सेटअप पर जाने में सक्षम था और एक बिंदु मिला, जहां मेरा कॉन्फ़िगरेशन अलग था: कीवॉल्ट फ़ायरवॉल को "निजी समापन बिंदु और चयनित नेटवर्क" पर सेट किया गया था लेकिन "विश्वसनीय Microsoft सेवाओं को इस फ़ायरवॉल को बायपास करने की अनुमति दें?" सक्षम करने के लिए सेट करें।
जब मैंने "सभी नेटवर्क" की अनुमति दी, तो मैं KeyVault से SSL प्रमाणपत्र के साथ पोर्टल में सफलतापूर्वक एक https श्रोता बना सकता हूं। तो ऐसा लगता है कि नेटवर्क प्रतिबंधों के साथ अभी भी एक समस्या है।

@ CMS-seglo yup, यह एक ज्ञात मुद्दा है, यहाँ ट्रैक किया गया है: https://github.com/MicrosoftDocs/azure-docs/issues/48866

@kszymanski 'सर्टिफिकेटसेटरलू' के लिए आपने क्या तय किया था? आपके url में 'some-id' KeyVault में प्रमाणपत्र ऑब्जेक्ट का 'संस्करण' होना चाहिए। दुर्भाग्य से, यह न तो 'az keyvault सर्टिफिकेट लिस्ट-vault-name ...' द्वारा लौटाया गया और न ही 'Get-AzKeyVaultSecret' या 'Get-AzKeyVaultCert सर्टिफिकेट' Powershell में, लेकिन जब आप KeyVault में सर्टिफिकेट को देखते हैं तो पोर्टल में प्रदर्शित होता है। ।

मेरे पास वही भ्रामक त्रुटि थी जिसका आपने ऊपर उल्लेख किया था, क्योंकि 'टूटा' प्रमाणपत्र बनाया गया था। एक बार जब मैंने सही आईडी का पता लगाया, तो यह काम कर गया।

@kszymanski 'सर्टिफिकेटसेटरलू' के लिए आपने क्या तय किया था? आपके url में 'some-id' KeyVault में प्रमाणपत्र ऑब्जेक्ट का 'संस्करण' होना चाहिए। दुर्भाग्य से, यह न तो 'az keyvault सर्टिफिकेट लिस्ट-vault-name ...' द्वारा लौटाया गया और न ही 'Get-AzKeyVaultSecret' या 'Get-AzKeyVaultCert सर्टिफिकेट' Powershell में, लेकिन जब आप KeyVault में सर्टिफिकेट को देखते हैं तो पोर्टल में प्रदर्शित होता है। ।

मेरे पास वही भ्रामक त्रुटि थी जिसका आपने ऊपर उल्लेख किया था, क्योंकि 'टूटा' प्रमाणपत्र बनाया गया था। एक बार जब मैंने सही आईडी का पता लगाया, तो यह काम कर गया।

यह यहाँ पर बाधित है। मैं पोर्टल से एक आईडी सेट कर रहा हूं, मैंने प्रमाणपत्र पहचानकर्ता और गुप्त पहचानकर्ता दोनों मामलों में कोई भाग्य नहीं आजमाया है। कच्चे डेटा और पासवर्ड (पूरी तरह से हटाए गए कुंजी तिजोरी) के साथ भी प्रमाण पत्र सेट करने का उल्लेख किया गया है, फिर भी कुछ भी समान त्रुटि नहीं बदल रही है। इसलिए मुझे लगता है कि यह कुंजी वॉल्ट सर्टिफिकेट URL के बजाय आइडेंटिटी असाइनमेंट की समस्या हो सकती है।

अंततः मुझे KeyVault का उपयोग करने के बजाय मैन्युअल रूप से प्रमाणपत्र और पासवर्ड अपलोड करना पड़ा क्योंकि मुझे KeyVault काम करने के लिए नहीं मिला। हालाँकि, यदि आप इस त्रुटि को प्राप्त करने के बाद पोर्टल से कर रहे हैं, तो आपको एक नया एप्लिकेशन गेटवे बनाने की आवश्यकता है जैसा कि किसी और ने उल्लेख किया है। आप किसी कारण से अपने गलत गेटवे को समायोजित नहीं कर पाएंगे।

तो जैसा कि आप देख सकते हैं कि मैं इसे एआरएम टेम्पलेट से और पर बना रहा हूं। और btw बनाने के बाद मैन्युअल रूप से परिवर्तन करना। तब पोर्टल में मैं बिना किसी समस्या के इस पहचान और प्रमाणपत्र को असाइन कर सकता हूं।

@kylehayes यह काफी सही नहीं है। हां, आप इसे वर्तमान में पोर्टल से विफल स्थिति से बाहर नहीं निकाल सकते हैं, लेकिन आप इसे PowerShell या CLI से कर सकते हैं।

उदाहरण के लिए। असफल श्रोता को हटाएं, नियम और प्रमाणित करें और GW को अपडेट करें।

$AppGw = Get-AzApplicationGateway -Name "<name>" -ResourceGroupName "<rg_name>"
Remove-AzApplicationGatewayHttpListener -ApplicationGateway $AppGw -Name "<listener_name>"
Remove-AzApplicationGatewayRequestRoutingRule -ApplicationGateway $AppGW -Name "<rule_name>"
Remove-AzApplicationGatewaySslCertificate -ApplicationGateway $AppGW -Name "<cert_name>"
Set-AzApplicationGateway -ApplicationGateway $AppGW

मैं एक नया केवी के साथ एक ही मुद्दा था जिसमें नेटवर्क फ़ायरवॉल कॉन्फ़िगर किया गया था। फ़ायरवॉल को बंद करने के बाद परीक्षण के रूप में मैंने एआरएम की तैनाती में त्रुटि को फेंक दिया। मैं यह भी मानता हूं कि यह काम करने की जरूरत है क्योंकि मेरा ग्राहक केवी को बंद करना चाहता है।

1. गैर -90 दिनों की सॉफ्ट डिलीट (अवधारण) अवधि के साथ अभी भी एक समस्या है। इस मामले में, त्रुटि है "_The 'UserAssignedIdentities' संपत्ति चाबियाँ केवल खाली json वस्तुओं, अशक्त या होना चाहिए संसाधन property._ मौजूदा" (BTW, वहाँ यह त्रुटि संदेश में कोई गलती है।) वर्कअराउंड सेट केवी वस्तु संपत्ति के लिए है 'softDeleteRetentionInDays' को 90. आप इसके लिए https://resources.azure.com/ का उपयोग कर सकते हैं।

2. एप्लिकेशन GW प्रबंधन विमान केवी तक पहुंचने के लिए एज़्योर डीसी के भीतर कुछ यादृच्छिक आईपी का उपयोग करता है। Https://github.com/MicrosoftDocs/azure-docs/issues/48866 देखें

इसलिए, पोर्टल से "टूटी हुई" ऐप GW को ठीक करने के लिए, आपको निम्न करना होगा:

1. सुनिश्चित करें कि केवी सॉफ्ट डिलीट की अवधि 90 दिन है
2. केवी फ़ायरवॉल अक्षम है
3. पोर्टल में कोई भी प्रबंधन क्रिया करें जो ऐप GW कॉन्फिग ऑब्जेक्ट अपडेट को ट्रिगर करेगा

दुर्भाग्य से, आपको अभी भी पीएस का उपयोग केवी से सीरी के लिंक से ऑब्जेक्ट को क्लीनअप करने के लिए करना होगा क्योंकि पोर्टल के यूआई में प्रमाणित ऑब्जेक्ट उजागर नहीं होते हैं।

इस पूरे KV / AppGW एकीकरण कहानी को रिलीज़ होने से पहले बेहतर तरीके से परखा जाना था।

हमें एक ही लक्षण का सामना करना पड़ा है ("'UserAssignedIdentities' संपत्ति कुंजियाँ केवल खाली वस्तुएं होनी चाहिए, शून्य या संसाधन से बाहर निकलने वाली संपत्ति।"), हमारी नरम हटाने की अवधि 90 दिन है और फ़ायरवॉल खुली है। हम एक क्षणिक समूह में अनुप्रयोग स्टैक के साथ "लगातार" संसाधन समूह में केवी है। एक सप्ताह पहले डीईवी स्टैक को फाड़ दिया और इसे वापस (एआरएम के माध्यम से) खड़ा करने की कोशिश की और आवेदन गेटवे पर प्रक्रिया विफल हो जाती है, जिसका अर्थ है कि हम कोई भी विकास तब तक नहीं कर सकते जब तक यह फिर से काम न करे।

मैं भी एआरएम टेम्पलेट से तैनाती करते समय एक ही मुद्दे का सामना कर रहा हूं, मैंने 90 दिनों के लिए सॉफ्ट डिलीट रखा और फ़ायरवॉल सभी नेटवर्क के लिए खुला है, लेकिन अभी भी एक ही मुद्दे का सामना कर रहा है। यह पोर्टल से काम कर रहा है लेकिन एआरएम टेम्पलेट से नहीं।
। 'UserAssignedIdentities' संपत्ति कुंजियाँ केवल खाली ऑब्जेक्ट्स, रिक्त या संसाधन से बाहर निकलने वाली संपत्ति होनी चाहिए।

यह वही 3 वीं बार है जब एक ही ऐपगेटवे ला-ला-लैंड गया है। कैंट स्टॉप और अपडेट:
{
"त्रुटि": {
"कोड": "MissingIdentityIds",
"संदेश": "पहचान आईडी 'उपयोगकर्ता नाम' पहचान प्रकार के लिए रिक्त या रिक्त नहीं होना चाहिए।"
}
}

ईमानदार रहना। मैंने इसे छोड़ दिया क्योंकि यह अस्थिर है।

Thu पर, 23 अप्रैल, 2020 को 3:46 बजे pererap01 नोटिफिकेशन @github.com ने लिखा:

यह वही 3 वीं बार है जब एक ही ऐपगेटवे ला-ला-लैंड गया है। खिचड़ी भाषा बंद करो और
या अपडेट:
{
"त्रुटि": {
"कोड": "MissingIdentityIds",
"संदेश": "पहचान आईडी को 'UserAssigned' के लिए रिक्त या रिक्त नहीं होना चाहिए
पहचान के प्रकार।"
}
}

-
आप इसे प्राप्त कर रहे हैं क्योंकि आपको इस धागे की सदस्यता दी गई है।
इस ईमेल का उत्तर सीधे दें, इसे GitHub पर देखें
https://github.com/MicrosoftDocs/azure-docs/issues/33157#issuecomment-618624144 ,
या सदस्यता समाप्त करें
https://github.com/notifications/unsubscribe-auth/ABD32Z2KPUY7KBFNPTCVMA3ROCLJ3ANCNFSM4HXFRP4A
।

हमें एक दूसरे को खड़ा करना था और इसका उपयोग करना था क्योंकि मूल एक परतदार है! मेरे पास इस मुद्दे के बारे में एमएस के साथ एक टिकट है ... चलो देखते हैं कि क्या इस बार हल होने वाला है?

@ SubhashVasarapu-MSFT संभावित ब्लॉकर्स को सूचीबद्ध करने का एक तरीका है कि ऐसा असंगत क्यों हो रहा है? मूल कारण / सीमा हो सकती है।

यह बेहतर होगा कि हम ठीक होने के साथ वर्तमान स्थिति प्राप्त करें।

इस धागे में दूसरों की तरह, मुझे भी एक त्रुटि मिली:

Failed to save configuration changes to application gateway <REDACTED>. Error: Either Data or KeyVaultSecretId must be specified for Certificate <REDACTED>...

वॉल्ट की एक्सेस पॉलिसी में मैंने एज़्योर गेटवे द्वारा उपयोग की गई पहचान के लिए सभी कुंजी, गुप्त और प्रमाणपत्र अनुमतियों को सक्षम किया। मुझे यकीन है कि यह ओवरकिल है, लेकिन अन्य अनुमतियों के मिश्रण की कोशिश करने के बाद मैं निराश हो गया और बस सब कुछ सक्षम कर दिया। बाद में त्रुटि दूर हो गई।

पीएस e2e टीएलएस जबकि क्लाउड प्रोविडेड सर्टिफिकेट का उपयोग करना एक सुपर सामान्य परिदृश्य है। एज़्योर के लिए एक नवागंतुक के रूप में मैं बहुत निराश हूं कि यह अभी तक एक पॉलिश अनुभव नहीं है।

मैं अनुप्रयोग गेटवे के माध्यम से अपने क्लस्टर पर कीवॉल्ट से रहस्य और प्रमाण पत्र लाने की कोशिश कर रहा हूं जो कि मेरे आवेदन को विफल कर देता है क्योंकि यह केवी को प्रमाणित नहीं कर सकता है और इसके परिणामस्वरूप खराब गेटवे त्रुटि होती है।

कनेक्शन आईडी "0HM0BI3H5TUJP", अनुरोध आईडी "0HM0BI3H5 TUJP: 00000001 ": एक
कनेक्शन आईडी "0HM0BI3H5TUNQ", अनुरोध आईडी "0HM0BI3H5 TUNQ: 00000002 ": एक

मुझे पॉड के अपने लॉग पर ये त्रुटियां मिलती हैं जो गुप्त लाने की कोशिश कर रहा है।

मेरे KeyVault में सॉफ्ट डिलीट है जो डिफॉल्ट 90 दिनों के लिए रिटेंशन पीरियड के रूप में सेट किया गया है और सभी नेटवर्कों पर नेटवर्किंग सेट है। मेरा ऐप गेटवे पहचान भी तिजोरी पर सही ढंग से कॉन्फ़िगर किया गया है। क्या किसी को पता है कि मैं गलत कहाँ जा रहा हूँ?

मैं एमएस से एक इंजीनियर के साथ काम कर रहा हूं
यह जो मैंने पाया है उसका सारांश है

1. Appgateway श्रोताओं के साथ किसी भी सीट्स सहयोगी को हटा दें। मूल रूप से सभी ऐपगेटवे स्थापित सीट्स को हटाना
   जाँच करने के लिए: पी.एस.
   az नेटवर्क एप्लिकेशन-गेटवे ssl- प्रमाणित सूची -g (संसाधन समूह) - गेटवे-नाम (गेटवे नाम)
   यदि निम्न दिखाता है
   "keyVaultSecretId": अशक्त,
   प्रमाणपत्र appgateway पर स्थापित किया गया है और सबसे अलग किया जाना है
2. एक बार जब सर्टिफिकेट ऐप्पगेटवे से गायब हो जाता है, तो कुंजी वॉल्ट से सर्टिफिकेट को संबद्ध कर दें और इसे काम करना चाहिए

मैं एमएस से एक इंजीनियर के साथ काम कर रहा हूं
यह जो मैंने पाया है उसका सारांश है

1. Appgateway श्रोताओं के साथ किसी भी सीट्स सहयोगी को हटा दें। मूल रूप से सभी ऐपगेटवे स्थापित सीट्स को हटाना
   जाँच करने के लिए: पी.एस.
   az नेटवर्क एप्लिकेशन-गेटवे ssl- प्रमाणित सूची -g (संसाधन समूह) - गेटवे-नाम (गेटवे नाम)
   यदि निम्न दिखाता है
   "keyVaultSecretId": अशक्त,
   प्रमाणपत्र appgateway पर स्थापित किया गया है और सबसे अलग किया जाना है
2. एक बार जब सर्टिफिकेट ऐप्पगेटवे से गायब हो जाता है, तो कुंजी वॉल्ट से सर्टिफिकेट को संबद्ध कर दें और इसे काम करना चाहिए

यह मेरे परिदृश्य में ऐसा नहीं है, क्योंकि पूरे रिसोर्स ग्रुप, एप्लिकेशन गेटवे शामिल हैं, नष्ट कर दिए गए हैं और फिर से बनाए गए हैं, लेकिन यह समस्या जारी है।

तब मेरी धारणा वहाँ कुंजी तिजोरी के साथ एक समस्या है और यह कैसे apgateway के साथ संचार करता है ...
क्या आपने संसाधन प्रबंधक पर एक नज़र डाली है और एक अनुरोध प्राप्त करें- आपको बेहतर त्रुटि से निपटने और या डीबग मोड में चलाने की आवश्यकता हो सकती है

मैं फिलहाल कुंजी वॉल्ट को नहीं छू रहा हूं इसलिए एमएस समर्थन इसे वर्तमान स्थिति में देख सकता है।

त्रुटि संदेश कहाँ से उत्पन्न होता है? क्या यह संस्करण 2 में WAF सक्षम है?

हाँ, V2 WAF। ARM से एरर निकलती है। AZ CLI का उपयोग करते हुए एक ADO होस्ट किए गए Windows एजेंट से निष्पादित

az group deployment create --debug --mode Complete

ध्यान दें: ARM टेम्पलेट में संपूर्ण स्टैक, VNET, VMs, APG, आदि प्रमुख वॉल्ट के साथ और अन्य संसाधन समूह में बने रहते हैं।

आह अच्छा…।

प्रेषक: सतत वितरण स्वचालन फ्रेमवर्क सूचनाएं @
प्रेषित: सोमवार, 8 जून, 2020 1:01 अपराह्न
के लिए: MicrosoftDocs / azure-docs [email protected]
Cc: Perera, Priyantha, Arvato SCS [email protected] ; कमेंट करें @noreply.github.com
विषय: Re: [MicrosoftDocs / azure-docs] अनुप्रयोग गेटवे: कुंजी वॉल्ट के साथ एकीकरण काम नहीं करता है (# 33157)

हाँ, V2 WAF। ARM से एरर निकलती है। AZ CLI का उपयोग करते हुए एक ADO होस्ट किए गए Windows एजेंट से निष्पादित

az समूह परिनियोजन बनाएँ --debug --mode पूर्ण

-
आप इसे प्राप्त कर रहे हैं क्योंकि आपने टिप्पणी की है।
इस ईमेल का उत्तर सीधे दें, इसे GitHub https://eur02.safelinks.protection.outlook.com/?url=https%3A%2F%2Fgithub.com पर https://eur02.safelinks.protection.outlook.com/?url=https% 3 ए% 2F% 2Fgithub.com% 2Fnotifications% 2Funsubscribe लेखन% 2FAF2ZC6CPCTZUSOKGAT7F523RVU7RBANCNFSM4HXFRP4A और डेटा = 02% 7C01% 7C% 7C742cf0b3589c42d4021508d80be6b732% 7C1ca8bd943c974fc68955bad266b43f0b% 7C0% 7C0% 7C637272432826304943 और sdata = TgPtoOi5neDLlb% 2B0hk% 2BEULQyZSUFV8fy4deb9RgUsKk% 3 डी और सुरक्षित = 0 ।

@ pererap01
आप "--मोड कम्प्लीट" का उपयोग कर रहे हैं - यह संभावित रूप से टेम्पलेट में परिभाषित नहीं किए गए 'छिपे हुए' संसाधनों को हटा देता है।
इसके अलावा, तैनाती को चलाने वाले उपयोगकर्ता / सेवा प्रिंसिपल के पास एमएसआई को पढ़ने की क्षमता होनी चाहिए जो केवी तक पहुंचने के लिए डब्ल्यूएएफ का उपयोग किया जाएगा यदि यह एमएसआई तैनाती का हिस्सा नहीं है।

@gaikovoi , मुझे लगता है कि संदर्भ मेरे लिए था। हम एक ही एआरएम और निष्पादन का उपयोग 3 वातावरणों पर करते हैं और वे सभी ठीक काम करते हैं। प्रत्येक शुक्रवार को DEV पर्यावरण को तोड़ दिया गया था और प्रत्येक सोमवार को फिर से बनाया गया था ताकि टीम को सप्ताह के माध्यम से काम करने के लिए एक ताज़ा वातावरण मिले (अगर कभी-कभी DEV में से किसी ने गड़बड़ की तो हमने तदर्थ फाड़ / स्टैंडअप किया)। एक हफ्ते के बाद ही यह सामने नहीं आया, हालांकि तैनाती का कोई दूसरा पहलू नहीं बदला था।

@ LCDaf आज ARM इश्यू था
हल: RCA - Azure संसाधन प्रबंधक - संसाधन बनाने या हटाने में विफलताएँ

किसी भी तरह, कभी-कभी, एआरएम की तैनाती सार्थक कारण के बिना विफल हो रही है। यह आमतौर पर फिर से चलने वाली एज़डीओ पाइपलाइन द्वारा तय किया जाता है।

@gaikovoi , हाँ, एआरएम बहुत मनमौजी हो सकता है (खासकर यदि आप एआरएम के माध्यम से

नमस्ते। मैंने केवल इस पर प्रतिक्रिया देने के लिए एक खाता बनाया क्योंकि यह बहुत निराशाजनक था। जो कोई भी मुझे पसंद करता है, वह सभी नेटवर्क के लिए KeyVault सेट नहीं कर सकता है या नहीं करना चाहता ... मुझे वर्कअराउंड मिला। यदि आप संसाधन एक्सप्लोरर में जाते हैं और निम्नलिखित को हटाते हैं तो यह आपके ऐप गेटवे को फिर से खुश कर देना चाहिए।

1. पहचान ऑब्जेक्ट हटाएं
2. उस प्रमाणपत्र को हटाएँ जो sslCert प्रमाणपत्र के अंतर्गत विफलता का कारण बना
3. अपने विफल श्रोता की सभी घटनाओं को हटा दें
4. अपने परिवर्तनों को रखें

इसने तुरंत मेरे ऐप गेटवे को अपडेट किया और इसे एक स्वस्थ प्रावधान वाले राज्य में मिला। निश्चित रूप से मैं KeyVault एकीकरण बनाने की कोशिश करने के लिए इस प्रक्रिया से बहुत जल गया / निराश हो गया, इसलिए मैंने सीधे ऐप गेटवे पर सीधे प्रमाण पत्र अपलोड किया और यह ठीक काम किया। KeyVault एकीकरण वास्तव में Microsoft द्वारा तय किया जाना चाहिए ...

Anywho, आशा है कि किसी की मदद करता है।

चीयर्स।

बस उपरोक्त सभी को प्रतिध्वनित करने के लिए। यह मुद्दा निश्चित रूप से एज़्योर में मौजूद है और ईमानदारी से मेरे दिमाग को उड़ा देता है।

वाइल्डकार्ड प्रमाण पत्र के लिए अनुमतियों को प्रबंधित करने के लिए प्रबंधित पहचान जोड़ने के बाद, फिर गेटवे में इस प्रमाण पत्र को जोड़ने के लिए सभी प्रलेखित चरणों का पालन करने के बाद, एक त्रुटि अभी भी यह दर्शाता है कि पहचान को तिजोरी तक पहुंच नहीं है। यह सुनिश्चित करने के लिए तिजोरी और प्रमाण पत्र दोनों की जांच करें कि यह वास्तव में उपयोग करता है, जो यह करता है। इस समस्या को हल करता है या नहीं, यह देखने के लिए केवल पढ़ने के लिए केवल स्वामी से अनुमतियों को बढ़ावा देने का निर्णय लें और वाइल्डकार्ड प्रमाणपत्र पर ताले के बारे में एक त्रुटि मारा।

इसलिए न केवल मैं कुंजी तिजोरी विधि के माध्यम से प्रमाण पत्र नहीं जोड़ सकता हूं, लेकिन अब आइटम को साफ करने की कोशिश कर रहा हूं या कई कॉन्फ़िगरेशन की कोशिश करने के बाद पहचान की अनुमतियों को बदल सकता हूं, मैं "हटाएं" लॉक को हटाए बिना एज़्योर से पहचान भी नहीं हटा सकता। वाइल्डकार्ड प्रमाणपत्र ग्राहक को खरीदा गया। ईमानदारी से, मैंने जो सबसे सरल तरीका यहां पाया है वह प्रमाण पत्र का निर्यात करना है, .pfx फ़ाइल में एक पासवर्ड जोड़ें और अंत में गेटवे के निर्माण के दौरान इसे फिर से अपलोड करें। यह सब GUI के माध्यम से किया गया था, टेराफॉर्म के माध्यम से प्रावधान के दौरान उपयोग करने के लिए एक सही एआरएम टेम्पलेट का उत्पादन करने की उम्मीद में। अभी भी टूटा।

यह एक सुंदर नींव वाली चीज की तरह प्रतीत होता है जिसे एज़्योर केवल अनदेखा करने के लिए खुश है।

क्या एक पूर्ण दुःस्वप्न है - मैं विश्वास नहीं कर सकता कि प्रतिक्रिया और मुद्दों के एक वर्ष से अधिक और यह अभी भी तय नहीं है। हमारी कुंजी तिजोरी सभी नेटवर्क के लिए खुली थी, सॉफ्ट डिलीट को सक्षम किया गया था और 90 दिनों के लिए सेट किया गया था, और पहला प्रयास दो प्रवेश द्वार को जोड़ने का था।

यह वास्तव में एक बुरी तरह से टूटा हुआ उत्पाद है। 😠

मुझे भी। यह 1 + वर्ष के लिए एक खुला मुद्दा कैसे हो सकता है। यह ऐप गेटवे WAF v2 का उपयोग करने के लिए भयावह है।
यह कब तय होगा?

फिर भी एक बात! मेरे मामले में यह मुख्य नेटवर्क एकीकरण प्रतीत होता है। पोर्टल निश्चित रूप से इसके लिए जाँच नहीं करता है और एक यादृच्छिक संपत्ति कुंजी त्रुटि (एक निषिद्ध त्रुटि नहीं है जैसा कि आप उम्मीद करेंगे) के साथ विफल हो जाता है। क्या कोई पुष्टि कर सकता है कि Microsoft के लिए VNET सेवा के समापन बिंदु को सक्षम करने पर। गेटवे सबनेट पर Keyvault इस एकीकरण को KeyVault FW के साथ काम करने की अनुमति देगा?

GW + में PAW KV का उपयोग करने के लिए एक पूर्व-मौजूदा प्रमाणपत्र "नवीनीकृत या संपादित" करने का प्रयास किया गया, परिवार कल्याण सक्षम + IPWhitelist सक्षम

Invalid value for the identities '/subscriptions/{sub-id}/resourcegroups/{rg-name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{uami-name}'. The 'UserAssignedIdentities' property keys should only be empty json objects, null or the resource exisiting property.

(ऊपर एक ही श्रोता पर) जीडब्ल्यू + द्वारा उपयोग किए गए पूर्व-प्रमाणित प्रमाणपत्र को "नवीनीकृत या संपादित" करने का प्रयास परिवार कल्याण के साथ PAAS KV का उपयोग करें

• सफलता

एक अलग श्रोता_ पर
एफडब्ल्यू अक्षम के साथ जीडब्ल्यू + पीएएएस केवी का उपयोग करने के लिए पूर्व-प्रमाणित प्रमाणपत्र "नवीनीकृत या संपादित" करने का प्रयास किया गया

• सफलता

नमस्ते। मैंने केवल इस पर प्रतिक्रिया देने के लिए एक खाता बनाया क्योंकि यह बहुत निराशाजनक था। जो कोई भी मुझे पसंद करता है, वह सभी नेटवर्क के लिए KeyVault सेट नहीं कर सकता है या नहीं करना चाहता ... मुझे वर्कअराउंड मिला। यदि आप संसाधन एक्सप्लोरर में जाते हैं और निम्नलिखित को हटाते हैं तो यह आपके ऐप गेटवे को फिर से खुश कर देना चाहिए।

1. पहचान ऑब्जेक्ट हटाएं
2. उस प्रमाणपत्र को हटाएँ जो sslCert प्रमाणपत्र के अंतर्गत विफलता का कारण बना
3. अपने विफल श्रोता की सभी घटनाओं को हटा दें
4. अपने परिवर्तनों को रखें

इसने तुरंत मेरे ऐप गेटवे को अपडेट किया और इसे एक स्वस्थ प्रावधान वाले राज्य में मिला। निश्चित रूप से मैं KeyVault एकीकरण बनाने की कोशिश करने के लिए इस प्रक्रिया से बहुत जल गया / निराश हो गया, इसलिए मैंने सीधे ऐप गेटवे पर सीधे प्रमाण पत्र अपलोड किया और यह ठीक काम किया। KeyVault एकीकरण वास्तव में Microsoft द्वारा तय किया जाना चाहिए ...

Anywho, आशा है कि किसी की मदद करता है।

चीयर्स।

उसी स्थिति में !. मैं सीधे प्रमाण पत्र जोड़ दूंगा और KeyVault का उपयोग नहीं करूंगा, क्योंकि मुझे भी कुंजी तिजोरी को सबनेट तक सीमित करना होगा
चीयर्स, रुई

टक्कर! यह अभी भी टेराफ़ॉर्म का उपयोग करने वाला एक मुद्दा है। यदि फ़ायरवॉल केवी पर चालू होता है, तो AppGW प्रावधान विफल हो जाता है।

पहले से ही बहुत कुछ करने की कोशिश की:

• केवी चालू कर दिया
  
  
  
  • टेम्पलेट तैनाती के लिए Azure संसाधन प्रबंधक
  
  
  • विश्वसनीय Microsoft सेवाओं को इस फ़ायरवॉल को बायपास करने की अनुमति दें?
  
  
• AppGW सबनेट पर सेवा समापन बिंदु और KV FW पर नेटवर्क को जोड़ना
• केवी एफडब्ल्यू में AppGW के publicIP को जोड़ना

... उनमें से कोई भी काम नहीं करता है। एकमात्र समाधान कुंजी वॉल्ट पर फ़ायरवॉल को अक्षम करना है।

इस मुद्दे को भी। कृपया जांच करें!

फिर भी एक बात! मेरे मामले में यह मुख्य नेटवर्क एकीकरण प्रतीत होता है। पोर्टल निश्चित रूप से इसके लिए जाँच नहीं करता है और एक यादृच्छिक संपत्ति कुंजी त्रुटि (एक निषिद्ध त्रुटि नहीं है जैसा कि आप उम्मीद करेंगे) के साथ विफल हो जाता है। क्या कोई पुष्टि कर सकता है कि Microsoft के लिए VNET सेवा के समापन बिंदु को सक्षम करने पर। गेटवे सबनेट पर Keyvault इस एकीकरण को KeyVault FW के साथ काम करने की अनुमति देगा?

GW + में PAW KV का उपयोग करने के लिए एक पूर्व-मौजूदा प्रमाणपत्र "नवीनीकृत या संपादित" करने का प्रयास किया गया, परिवार कल्याण सक्षम + IPWhitelist सक्षम

Invalid value for the identities '/subscriptions/{sub-id}/resourcegroups/{rg-name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{uami-name}'. The 'UserAssignedIdentities' property keys should only be empty json objects, null or the resource exisiting property.

(ऊपर एक ही श्रोता पर) जीडब्ल्यू + द्वारा उपयोग किए गए पूर्व-प्रमाणित प्रमाणपत्र को "नवीनीकृत या संपादित" करने का प्रयास परिवार कल्याण के साथ PAAS KV का उपयोग करें

* SUCCESS

एक अलग श्रोता_ पर
एफडब्ल्यू अक्षम के साथ जीडब्ल्यू + पीएएएस केवी का उपयोग करने के लिए पूर्व-प्रमाणित प्रमाणपत्र "नवीनीकृत या संपादित" करने का प्रयास किया गया

* SUCCESS

मेरे लिए काम करने के लिए प्रतीत नहीं होता है। मैंने कई संयोजन भी आजमाए। केवल समाधान केवी फ़ायरवॉल को पूरी तरह से अक्षम करना था।

यह मेरे लिए भी मामला लगता है; केवल कुंजीवॉल्ट फ़ायरवॉल को पूरी तरह से अक्षम करने से यह काम हो जाता है।

मेरे लिए भी एक ही मुद्दा ... यह अभी तक कैसे हल नहीं किया जा सकता है?

मुझे समझ नहीं आ रहा है - हम बस इसी में भागे हैं। यहाँ उचित विन्यास क्या है ??

Azure समर्थन के साथ एक टिकट खोलने के बाद, मुझे उनका आधिकारिक उत्तर मिला है:
"जैसा कि हमारी बातचीत के दौरान समझाया गया है, अनुप्रयोग गेटवे वर्तमान में कुंजी वॉल्ट के साथ एकीकरण का समर्थन नहीं करता है यदि कुंजी वॉल्ट" सार्वजनिक समापन बिंदु (सभी नेटवर्क) तक पहुंचने की अनुमति देने के लिए कॉन्फ़िगर नहीं किया गया है।
वर्तमान में हम एप्लिकेशन गेटवे के साथ एकीकरण के संबंध में की वॉल्ट पर सभी नेटवर्किंग कॉन्फ़िगरेशन का समर्थन करने के लिए आवश्यक टीमों के साथ आंतरिक रूप से काम कर रहे हैं।

इस पर आधिकारिक दस्तावेज आगामी है। "

@lonevvolf आप सभी नेटवर्कों में कीवॉल्ट को खोल सकते हैं, एसएसएल सर्टिफिकेट को अपने श्रोताओं के लिए प्रबंधित पहचान के साथ बाँध सकते हैं और फिर कीवॉल्ट को फ़ायरवॉल कर सकते हैं (या इसे vnet पर लॉक कर सकते हैं।) Appgw _cached_ ssl सर्टिफ़िकेट के साथ काम करना जारी रखेगा, लेकिन तब। यह समाप्त होने से पहले आप कुंजीवॉल्ट में प्रमाणपत्र को बदलें, appgw नए सिरे से प्रमाणित रोलओवर करने में सक्षम नहीं होगा। तो, आपको इस बारे में सावधान रहना होगा। लेकिन हाँ, यह टूट गया है।

@ Microsoft इस मुद्दे पर क्या हमें अपडेट मिल सकता है, कृपया? यह अभी भी हल नहीं हुआ है और आपके उद्यम एज़्योर ग्राहकों को सभी नेटवर्क के लिए कुंजी वॉल्ट को उजागर करने के लिए मजबूर करता है। यह रिपोर्ट किए गए एक साल से अधिक हो गया है, इसे रोडमैप पर रखने के लिए बहुत समय है।

जैसा कि हमारी बातचीत के दौरान बताया गया है, यदि "वॉल्ट एंडप्वाइंट्स (सभी नेटवर्क)" एक्सेस की अनुमति देने के लिए कुंजी वॉल्ट को कॉन्फ़िगर नहीं किया गया है, तो एप्लिकेशन गेटवे वर्तमान में की वॉल्ट के साथ एकीकरण का समर्थन नहीं करता है।
वर्तमान में हम एप्लिकेशन गेटवे के साथ एकीकरण के संबंध में की वॉल्ट पर सभी नेटवर्किंग कॉन्फ़िगरेशन का समर्थन करने के लिए आवश्यक टीमों के साथ आंतरिक रूप से काम कर रहे हैं।

साथ ही, इस प्रतिबंध को कहीं न कहीं प्रलेखित करने की आवश्यकता है। क्या हम MSFT डॉक्यूमेंटेशन में यह बयान दे सकते हैं?

उदाहरण के लिए, इस दस्तावेज़ में वह कथन होना चाहिए: https://docs.microsoft.com/en-us/azure/application-gateway/key-vault-certs

@ जैसा कि आपने उल्लेख किया है "आप सभी नेटवर्कों में कीवॉल्ट को खोल सकते हैं, एसएसएल सर्टिफिकेट को अपने श्रोताओं के लिए एक प्रबंधित पहचान के साथ बांधें और फिर कीवॉल्ट को फ़ायरवॉल करें (या इसे vnet पर लॉक करें।) Appgw कैश्ड ssl सर्टिफिकेट के साथ काम करना जारी रखेगा। । "

क्या az cli इस सुविधा का समर्थन करता है? क्या हम az cli का उपयोग करके ssl सर्टिफिकेट (इसे प्रमुख वॉल्ट सेर्ट्स से खींचकर) के साथ ऐप गेटवे में http श्रोता बना सकते हैं? यदि ऐसा है तो आप कृपया az cli कमांड प्रदान कर सकते हैं। अग्रिम में धन्यवाद।

@lonevvolf आप सभी नेटवर्कों में कीवॉल्ट को खोल सकते हैं, एसएसएल सर्टिफिकेट को अपने श्रोताओं के लिए प्रबंधित पहचान के साथ बाँध सकते हैं और फिर कीवॉल्ट को फ़ायरवॉल कर सकते हैं (या इसे vnet पर लॉक कर सकते हैं।) Appgw _cached_ ssl सर्टिफ़िकेट के साथ काम करना जारी रखेगा, लेकिन तब। यह समाप्त होने से पहले आप कुंजीवॉल्ट में प्रमाणपत्र को बदलें, appgw नए सिरे से प्रमाणित रोलओवर करने में सक्षम नहीं होगा। तो, आपको इस बारे में सावधान रहना होगा। लेकिन हाँ, यह टूट गया है।

हम्म। क्या होगा यदि आपने नवीनीकृत प्रमाणपत्र स्थापित करने से पहले कुंजी वॉल्ट फ़ायरवॉल को बंद कर दिया, और फिर इसे बाद में फिर से फ्लिप किया? क्या AGW परिवर्तन को देखेगा, और फ़ायरवॉल डाउन होने पर नए प्रमाणपत्र को जल्दी से पकड़ लेगा? वर्तमान में, मैं एक घड़ी के साथ एक Azure फ़ंक्शन पर काम कर रहा हूं, जो कि सर्टिफिकेट / लेट्स एनक्रिप्ट का उपयोग करके कुंजी वॉल्ट में सर्टिफिकेट को नवीनीकृत करने के लिए एक टाइमर के साथ है। मुझे कुंजी वॉल्ट फ़ायरवॉल को अक्षम करने और पुनः सक्रिय करने के लिए कुछ az आदेशों को स्क्रिप्ट करने में सक्षम होना चाहिए, जबकि कुंजी वॉल्ट में प्रमाणित अपडेट किया गया है।

यह मूर्खतापूर्ण है कि इसमें से कोई भी आवश्यक है। : /

क्या किसी को पता है कि कुंजी वॉल्ट पर परिवार कल्याण का समर्थन करने की कोई योजना है -> "निजी समापन बिंदु और चयनित नेटवर्क"?

दूसरे की भावनाओं को प्रतिध्वनित करने के लिए एक और टिप्पणी जोड़ना। यह समस्या बहुत निराशाजनक है, क्योंकि की वॉल्ट के लिए सभी नेटवर्क को उजागर करना अक्सर कई संगठनों के लिए एक समाधान नहीं है। मैं टेराफॉर्म का उपयोग करके इसमें भाग रहा हूं और वर्तमान में इसके चारों ओर काम कर रहा हूं। @ माइक्रोसॉफ्ट से एक फिक्स कमाल होगा।

मेरे लिए समान, हमारे पास इंटरनेट kv या appgw के लिए खुला नहीं हो सकता है, और हम जितना चाहें उतना सुविधा का उपयोग नहीं कर सकते। : /

आज वही समस्या है। :(

Appgw के साथ संघर्ष के साथ लोगों के लिए एक और व्यवहार्य विकल्प Azure Frontdoor का उपयोग करना है (यह मूल रूप से एक छंटनी की गई appgw है), लेकिन यह केवल सार्वजनिक नेटवर्क (कोई vnets) पर काम करता है - यह एसएसएल सेर्ट्स का सामना कर रहे सार्वजनिक ऑटोनॉग्नर का उपयोग कर सकता है।

हम सक्रिय रूप से AppGW की अनुमति देने के लिए KeyVaults के साथ काम करने के लिए केवल निजी समापन बिंदु और नेटवर्क पहुंच का चयन करने पर काम कर रहे हैं। @Jmcshane के सुझाव के अनुसार, हमने इस सीमा से संबंधित "कैसे एकीकरण काम करता है" अनुभाग के तहत एक महत्वपूर्ण नोट को शामिल करने के लिए डॉक्स को अपडेट किया है। एक बार AppGW सभी KeyVault कॉन्फ़िगरेशन का समर्थन करने में सक्षम है, हम इस धागे के साथ-साथ डॉक्स को भी अपडेट करेंगे।

@skinlayers जो काम कर सकते थे - जब तक आप इसे

मैं अगले चरणों के बाद इसे ठीक करने में सक्षम था:

• Az नेटवर्क एप्लिकेशन-गेटवे ssl- सर्टिफिकेट रिमूवल का उपयोग करके मौजूदा ssl- सर्टिफिकेट प्रोफाइल को
• फ़ायरवॉल को अस्थायी रूप से अक्षम करें और सभी नेटवर्क से पहुँच की अनुमति दें
• Azure key वॉल्ट से प्रमाणपत्र को फिर से बांधें (मैंने दो बार जाँच की कि सभी सेवा पहचान अनुमतियाँ ठीक थीं)।
• सभी नेटवर्क से फिर से पहुंच अक्षम करें

सब कुछ ठीक चल रहा है

नोट: उपरोक्त वर्कअराउंड अनुशंसित नहीं है । Microsoft ने हमें सचेत किया है कि चूंकि इस पद्धति का उपयोग किया गया था, और फ़ायरवॉल को फिर से सक्षम किया गया था, इसलिए अनुप्रयोग गेटवे पर भविष्य के ऑटोस्कोलिंग संचालन विफल हो जाएंगे! यह वास्तव में Microsoft से पूर्ण समाधान की आवश्यकता है।